К вопросу о содержании признака «вред критической информационной инфраструктуре Российской Федерации» для целей частей 2 и 3 статьи 274.1 Уголовного кодекса Российской Федерации
Аннотация и ключевые слова
Аннотация (русский):
Введение: в статье приводятся результаты проведенного автором исследования признака «вред критической информационной инфраструктуре Российской Федерации». Материалы и методы: методологическую базу исследования составили общенаучные и частнонаучные методы познания действительности. Из числа частнонаучных методов применялся формально-юридический метод, включающий определенную систему обработки и анализа нормы уголовного закона и материалов судебной практики по уголовным делам, возбужденным по ст. 2741 УК РФ. Материалами исследования послужили нормы уголовного законодательства Российской Федерации, положения постановления Пленума Верховного Суда Российской Федерации от 15.12.2022 № 37, материалы судебной практики по уголовным делам, возбужденным по ст. 2741 УК РФ за 2020 – 2023 годы, а также отечественная научная литература по данной проблематике. Обзор литературы: теоретической основой исследования послужили труды отечественных ученых в отрасли уголовно-правовых наук, в частности, работы М.А. Ефремовой, Е.А. Русскевича, С.С. Шахрай, Е.А. Соловьевой, А.Ю. Решетникова, И.И. Малыгина. Результаты исследования: на основе анализа нормативной базы и трудов ученых автор делает вывод, что признак «вред критической информационной инфраструктуре Российской Федерации» раскрыт не полностью. В ходе изучения материалов судебно-следственной практики автор заключает, что суды по-разному описывают признак «вред критической информационной инфраструктуре Российской Федерации». Однако сущность указанного признака, описываемого судами, практически идентична. Обсуждение и заключение: на основе анализа законодательства о связи, информации и критической информационной инфраструктуры Российской Федерации, а также актуальных материалов судебной практики делается вывод, что такой вред чаще всего определяется как нарушение состояния защищенности компьютерной информации.

Ключевые слова:
критическая информационная инфраструктура Российской Федерации; вред критической информационной инфраструктуре Российской Федерации; объекты критической информационной инфраструктуры Российской Федерации; нарушение безопасности компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации
Текст
Текст произведения (PDF): Читать Скачать

Введение

Информационное общество предполагает активное использование критической информационной инфраструктуры Российской Федерации (далее – КИИ РФ) в таких ключевых сферах государственной деятельности, как здравоохранение, связь, банковская и иная финансовая деятельность и т.п. Поэтому, по мнению Е.А. Соловьевой, обеспечение устойчивого и бесперебойного функционирования КИИ РФ в мирное время, в период непосредственной агрессии и в военное время определены доктриной информационной безопасности, утвержденной указом Президента РФ от 5 декабря 2016 № 6461, как национальный интерес в информационной сфере [1].

Уголовно-правовая охрана объектов КИИ Российской Федерации является приоритетной задачей государства и регулируется в том числе ст. 2741 УК РФ, которой уголовный закон дополнен еще в 2018 году2.

Конструкцию ст. 2741 УК РФ следует считать сложной, поскольку ее части включают самостоятельные и не связанные между собой составы преступлений.

Тем не менее ч. 2 и 3 ст. 2741 УК РФ объединяет наличие общественно-опасных последствий – «причинение вреда критической информационной инфраструктуре Российской Федерации».

В частности, ч. 2 ст. 2741 УК РФ предусматривает ответственность за неправомерный доступ к охраняемой компьютерной информации, содержащейся в КИИ РФ в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на КИИ РФ, или иных вредоносных компьютерных программ, если он повлек причинение вреда КИИ РФ.

В свою очередь, ч. 3 ст. 2741 УК РФ предусматривает ответственность за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой законом компьютерной информации, содержащейся в КИИ РФ, или информационных систем (далее – ИС), информационно-телекоммуникационных сетей (далее – ИТКС), автоматизированных систем управления (далее – АСУ ТП), сетей электросвязи, относящихся к КИИ РФ, либо правил доступа к указанной информации, ИС, ИТКС, АСУ ТП, если оно повлекло причинение вреда КИИ РФ3.

Материалы и методы

Эмпирическую основу исследования составили опубликованные данные судебной статистики и судебных решений, материалы 48 уголовных дел (на момент исследования), возбужденных по ч.2 и ч.3 ст. 2741 УК РФ в различных регионах Российской Федерации, а также отечественное законодательство и труды отечественных ученых. Методологическую основу исследования составили общенаучные и частнонаучные методы познания действительности.

Обзор литературы

Исследованию вопросов уголовно-правовой охраны компьютерной информации посвящены научные труды С.С. Шахрая [2], И.И. Малыгина [3], А.В. Суслопарова [4], М.А. Ефремовой [5], В.Г. Степанова-Егиянца [6].

Помимо этого, изучению обозначенных явлений посвящены труды Е.А. Соловьевой [1], И.А. Яковенко [7], Е.А. Русскевича [8], А.В. Пелевиной [9], Р.И. Дремлюги [10], С.Д. Бражника [11] и др.

Результаты исследования

Исходя из смысла диспозиций ч. 2 и ч. 3 ст. 2741 УК РФ, указанные составы преступлений являются материальными, т.е. считаются оконченными с момента причинения вреда КИИ РФ.

Отметим, что правомерность доступа к компьютерной информации определяется наличием у лица права проникновения в источник информации4.

Конструкция ч. 3 ст. 2741 УК РФ является более сложной. Ч. 3 ст. 2741 УК РФ содержит в диспозиции: «Нарушение правил эксплуатации средств хранения, обработки или передачи информации, находящейся на объектах КИИ РФ, … либо правил доступа к указанной информации, информационным системам…». Разделительный союз «либо» в контексте ч. 3 ст. 2741 УК РФ означает, что диспозиция содержит в себе два альтернативных варианта действия.

Отметим, что «эксплуатация компьютерной системы» представляет собой ее активное использование с целью достижения определенного результата. В широком смысле эксплуатация средств обработки, хранения и передачи компьютерной информации (информационной системы) включает:

- системное и техническое сопровождение аппаратного обеспечения информационной системы (в том числе модернизацию и сервисное обслуживание информационной системы);

- организацию рабочего процесса.

Доступ к информационной системе подразумевает возможность проникновения в источник информации с целью ознакомления с ней.

По нашему мнению, неправомерный доступ предполагает проникновение в источник информации без правовых оснований для такого доступа. В свою очередь, нарушение правил доступа означает несоблюдение установленных правовых предписаний лицом, которое обязано их соблюдать. В связи с этим полагаем, указанные понятия необходимо разделять.

Предметом преступления, предусмотренного ст. 2741 УК РФ, является содержащаяся в информационных системах КИИ РФ, охраняемая законом компьютерная информация.

Критическая информационная инфраструктура представляет собой объекты критической информационной инфраструктуры5.

Объектами КИИ РФ являются ИС, ИТКС, АСУ ТП субъектов КИИ РФ6.

Субъектами КИИ РФ признаются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или ином законном основании принадлежат ИС, ИТКС, АСУ ТП, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных объектов7.

В свою очередь, по смыслу ч. 2 и 3 ст. 2741 УК РФ в качестве общественно-опасных последствий определено причинение вреда КИИ РФ. Однако содержание вреда, причиняемого КИИ РФ, законодательно не закреплено, как и не определено в постановлении Пленума Верховного Суда Российской Федерации от 15.12.2022 № 37 «О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть «Интернет»8.

В данном случае нельзя не согласиться с мнением И.И. Малыгина, который указывает, что «указание на причинение вреда как на обязательное общественно опасное последствие совершенного деяния, является ахиллесовой пятой уголовно-правовой нормы об ответственности за неправомерное воздействие на объекты КИИ России» [12].

Тем не менее в научных кругах предпринимаются попытки раскрыть содержание такого вреда, в частности И.И. Малыгиным. По мнению Е.А. Соловьевой, под вредом, причиняемым КИИ РФ, следует понимать любые неблагоприятные изменения в охраняемой законом КИИ РФ, которые могут выражаться как в материальном, так и нематериальном плане, виновно вызванные неправомерным воздействием и причинно связанные с ним [1].

С мнением Е.А. Соловьевой в целом можно согласиться. Действительно, в содержание вреда можно включать материальные или нематериальные неблагоприятные изменения в информационных системах КИИ РФ, однако указанное автором понятие «любые неблагоприятные последствия» довольно широкое и может включать достаточно большое количество аспектов. В связи с этим обратимся к мнению И.И. Малыгина.

Так, И.И. Малыгин применительно к ст. 2741 УК РФ полагает, что под вредом следует понимать:

1. Нарушение функционирования объекта критической информационной инфраструктуры (в том числе функционирования сети электросвязи, используемой для организации взаимодействия таких объектов).

2. Прекращение функционирования объекта критической информационной инфраструктуры (в том числе прекращение функционирования сети электросвязи, используемой для организации взаимодействия таких объектов).

3. Нарушение безопасности обрабатываемой таким объектом информации [12].

Полагаем, третий пункт указанного мнения для выполнения цели настоящего исследования в целом подходит, но отметим, что в данном случае И.И. Малыгин говорил именно о вреде для целей всей ст. 2741 УК РФ, а не об отдельных ее составах.

Решетников А.Ю. полагает, что неправомерный доступ к компьютерной информации в информационной системе объектов КИИ РФ и дальнейшее манипулирование ею (копирование, уничтожение, блокирование, модифицирование) нарушает целостность этой информационной системы, в результате чего циркулирующие в системе сведения теряют объективность, достоверность и актуальность, так называемую триаду информации [13].

Указанные позиции И.И. Малыгина и А.Ю. Решетникова представляются нам заслуживающими внимания, поскольку они наиболее точно описывают признак «вред критической информационной инфраструктуре Российской Федерации».

Обратимся к материалам судебной практики и определим, какие негативные последствия суды вкладывают в содержание признака «вред».

Так, например, гражданин Р., находясь на рабочем месте, с использованием автоматизированного устройства, действуя из корыстных побуждений, используя свое служебное положение, совершил неправомерный доступ к компьютерной информации, содержащейся в КИИ РФ, повлекший ее модификацию, а именно – внесение в Единую государственную информационную систему в сфере здравоохранения недостоверных сведений о вакцинации против новой коронавирусной инфекции (COVID-19) лицам, не прошедшим процедуру вакцинации9.

В своем решении суд отметил, что гражданин Р. указанными действиями нарушил требования ст. 23 Конституции Российской Федерации, ч. 1, ч. 2 ст. 5 Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ10, п. 7, п. 8 ст. 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ11, Временные правила учета информации в целях предотвращения распространения новой коронавирусной инфекции (COVID-19), утвержденные постановлением Правительства Российской Федерации от 31.03.2020 № 37312, и причинил вред объекту КИИ РФ, выраженный в потере компьютерной информации объективности, достоверности и актуальности.

Альтернативным примером может послужить приговор Курганского городского суда Курганской области от 14.03.2023 по делу № 1-143/2023, в котором указано, что гражданин С., будучи сотрудником салона сотовой связи ПАО «ВымпелКом», нарушил правила доступа к охраняемой законом компьютерной информации, содержащейся в КИИ РФ, неправомерно скопировав детализацию о сообщениях и соединениях абонентов ПАО «ВымпелКом» и передав ее за денежное вознаграждение третьим лицам13.

При схожих обстоятельствах суды определяют содержание вреда как: нарушения состояния защищенности такой системы14, нарушения безопасности конфиденциальности информации, содержащейся в КИИ РФ1516, несоответствие сведений, содержащихся в компьютерной системе критериям оценки – объективности, достоверности, и актуальности17, нарушение целостности и достоверности информации, циркулирующей в базе данных18.

На основании изложенного мы пришли к выводу, что суды определяют содержание вреда КИИ РФ как нарушение состояния защищенности компьютерной информации, содержащейся в КИИ РФ.

Однако следующий приговор содержит указание и на причинение вреда КИИ РФ в виде нарушения безопасности компьютерной информации и причинения репутационного вреда субъекту КИИ РФ, который выразился в дискредитации деятельности компании по хранению и обработке информации, составляющей охраняемую законом тайну частной жизни и тайну телефонных переговоров19.

С выводом суда, касающегося деловой репутации, мы вынуждены не согласиться, поскольку вред деловой репутации субъекта КИИ РФ не является вредом КИИ РФ в целом.

Согласно п. 6 ст. 2 ФЗ № 187, критической информационной инфраструктурой являются объекты КИИ РФ (ИС, ИТКС, АСУ ТП), а также сети электросвязи, используемые для организации взаимодействия таких объектов20.

Как следует из Федерального закона, субъект КИИ РФ не относится к содержанию КИИ РФ. Таким образом, по нашему мнению, вред деловой репутации, причиненный субъекту КИИ РФ, не является вредом, причиненным КИИ РФ.

На данном этапе ограничимся примерами судебной практики из сферы связи и здравоохранения и для наглядности исследования перейдем к примерам из судебной практики в банковской сфере.

Так, гражданин А., будучи сотрудником АО «Почтабанк», сформировал заявку на открытие сберегательного счета и выпуск пластиковой банковской карты на имя гражданина О. без согласия последнего, чем осуществил неправомерный доступ к охраняемой законом компьютерной информации, содержащейся в КИИ РФ, а именно к компьютерной программе Siebel. (Данная компьютерная программа, согласно решению ФСТЭК, относится к объектам КИИ РФ)21.

Суд определил, что своими действиями гражданин А. причинил вред КИИ РФ, выразившийся в модификации информации в указанной базе данных, внесении в нее недостоверной информации, что нарушило целостность указанной информационной системы, в результате чего информация, содержащаяся в ней, перестала соответствовать критериям оценки – объективности, достоверности и актуальности, тем самым причинив репутационный вред объекту КИИ РФ.

По нашему мнению, указанное в приговоре суда содержание признака «вред критической информационной инфраструктуре» довольно объемное и сложное, поскольку идет указание сразу на несколько критериев: нарушение целостности системы, несоответствие компьютерной информации критериям оценки, репутационный вред КИИ РФ. Но, скорее, здесь одно закономерно вытекает из другого. По сути, в данном приговоре речь идет о нарушении состояния защищенности такой информации.

Как мы упоминали ранее, в случае с приговором Хасавюртского районного суда Республики Дагестан от 01.03.2023 по делу № 1-49/2023 вред деловой репутации, или репутационный вред, не может включаться в содержание признака «вред КИИ РФ», поскольку такой вред причиняется субъекту КИИ РФ, т.е. ее законному владельцу. Мы уже отмечали, субъект КИИ РФ не относится к содержанию КИИ РФ в целом, а, следовательно, вред, причиненный субъекту КИИ РФ, не будет являться вредом, причиненным объекту КИИ РФ. Таким образом, с решением суда о репутационном вреде мы также вынуждены не согласиться.

При схожих обстоятельствах Куйбышевский районный суд г. Омска в приговоре от 31.07.2023 по делу 1-58/2023 (1-465/2022) определил, что вред объекту КИИ РФ выразился во внесении в систему недостоверных сведений, что нарушило ее целостность, а информация, в ней содержащаяся, перестала соответствовать критериям оценки – объективности, достоверности и актуальности22.

Обсуждение и заключение

Таким образом, содержание признака «вред критической информационной инфраструктуре Российской Федерации» может выражаться в нарушении:

- безопасности конфиденциальности компьютерной информации, принадлежащей и охраняемой субъектом КИИ РФ2324;

- целостности компьютерной системы КИИ РФ252627.

- состояния защищенности КИИ РФ2829.

- безопасности обрабатываемой компьютерной информации3031.

По существу, правоприменитель, используя вышеуказанные фразы, констатирует факт нарушения безопасности охраняемой законом компьютерной информации.

Таким образом, под вредом критической информационной инфраструктуре Российской Федерации предлагается понимать нарушение безопасности компьютерной информации, содержащейся в КИИ РФ.

Под безопасностью компьютерной информации предлагается понимать такое состояние ее защищенности, при котором ее свойства (объективность, достоверность, актуальность) устойчивы перед внешними и внутренними угрозами.

По нашему мнению, существующее постановление Пленума Верховного Суда Российской Федерации от 15.12.2022 № 37 нуждается в уточнении содержания признака «вред критической информационной инфраструктуре».

Список литературы

1. Соловьева Е.А. Вред как криминообразующий признак в составах преступлений, предусмотренных частями 2 и 3 статьи 2741 УК РФ // Пермский юридический альманах. 2023. № 6. С. 553 – 569.

2. Шахрай С.С. Система преступлений в сфере компьютерной информации: сравнительно-правовой, социолого-криминологический и уголовно-правовой аспекты: дис. … канд. юрид. наук: 12.00.08 – Уголовное право и криминология; уголовно-исполнительное право. Москва, 2010. 214 с.

3. Малыгин И.И. Уголовная ответственность за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации: монография. 2023. 164 с.

4. Суслопаров А.В. Компьютерные преступления как разновидность преступлений информационного характера: дис. … канд. юрид. наук: 12.00.08 – Уголовное право и криминология; уголовно-исполнительное право. Владивосток, 2010. 214 с.

5. Ефремова М.А. Уголовно-правовая охрана информационной безопасности: дис. … д-ра юрид. наук: 12.00.08 – Уголовное право и криминология; уголовно-исполнительное право. Москва, 2018. 428 с.

6. Степанов-Егиняц В.Г. Методологическое и законодательное обеспечение безопасности компьютерной информации в Российской Федерации (Уголовно-правовой аспект): дис. … д-ра юрид. наук: 12.00.08. – Уголовное право и криминология; уголовно-исполнительное право. Москва, 2016. 389 с.

7. Яковенко И.А. Объективные признаки компьютерных преступлений как разновидности преступлений информационного характера // E–scio. 2021 № 2 (53). С. 389 – 395.

8. Русскевич Е.А. Дифференциация ответственности за преступления, совершаемые с использованием информационно-коммуникационных технологий, и проблемы их квалификации: дис. … д-ра юрид. наук: 12.00.08 – Уголовное право и криминология; уголовно-исполнительное право. Москва, 2021. 521 с.

9. Пелевина А.В. Общая характеристика преступлений в сфере компьютерной информации // Пробелы в российском законодательстве. 2015. № 4. С. 209 – 211.

10. Дремлюга Р.И. Критическая информационная инфраструктура как предмет преступного посягательства // Азиатско-Тихоокеанский регион: экономика, политика, право. 2019. № 2. С. 130 – 139.

11. Бражник С.Д., Пилясов И.А. Технико-юридический анализ нормы о неправомерном воздействии на критическую информационную инфраструктуру Российской Федерации (274.1 УК РФ). EDN MPSAAU // Евразийское Научное Объединение. 2019. № 8-3. С. 198 – 201.

12. Малыгин И.И. Уголовно-правовое противодействие неправомерному воздействию на критическую информационную инфраструктуру: дис. … канд. юрид. наук: 5.1.4 – Уголовно-правовые науки. Москва, 2023. 192 с.

13. Решетников А.Ю. Об уголовной ответственности за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации // ЗАКОНЫ РОССИИ: ОПЫТ, АНАЛИЗ, ПРАКТИКА. 2018. № 2. С. 51 – 55.


Войти или Создать
* Забыли пароль?